Alerte sécurité – Un exploit 0-Day pour WHMCS diffusé publiquement

2
125

L’exploit concerne la version 5.2.8 de WHMCS, le célèbre logiciel PHP permettant d’automatiser la vente et l’installation de services Web (prisés des hébergeurs Web, des fournisseurs VPN et des revendeurs de noms de domaines). La vulnérabilité n’est pas corrigée à ce jour.

Cette vulnérabilité de type Injection SQL (sqli) est exploitable via le scriptsubmitticket.php et permet d’extraire les comptes utilisateurs, leur adresse mail et leur mot de passe chiffré avec l’algorithme MD5.

whmcs_1337day

WHMCS_exploit

Sur le site spécialisé 1337day.com, des pirates ont diffusé un outil permettant son exploitation (un exploit, ndlr). Une vidéo est même disponible sur Youtube afin de décrire son fonctionnement :

[youtube kIkfm8XPAco nolink]

Les vulnérabilités de ce type sont très recherchées par les cybercriminels afin de subtiliser les coordonnées de carte de crédit des utilisateurs, qui seront ensuite utilisées ou revendues sur le Black Market. A noter que d’habitude, un exploit de cette envergure est vendu et non public… il faut compter 6000 € environ, il y a eu le cas l’année dernière.

Les pirates fournissent même les Google Dorks destinés à repérer les sites potentiellement vulnérables :

inurl:submitticket.php site:.com
inurl:submitticket.php site:.net
inurl:submitticket.php site:.us
inurl:submitticket.php site:.eu
inurl:submitticket.php site:.org
inurl:submitticket.php site:.uk
intext:”Powered by WHMCompleteSolution”
intext:”Powered by WHMCompleteSolution” inurl:clientarea.php
inurl:announcements.php intext:”WHMCompleteSolution”
intext:”Powered by WHMCS”

Pour les webmasters, pensez à suivre les recommandations de sécurité de l’éditeur du logiciel WHMCS.

 

Source : SecuIP

Les commentaires sont fermés.